Obveznosti upravljavca glede varstva osebnih podatkov

Datum

05.04.2023

Številka

07121-1/2023/452

Kategorije

Pravne podlage, Neposredno trženje, nagradne igre

Pri Informacijskem pooblaščencu (IP) smo dne 28. 3. 2023 prejeli vaše zaprosilo za mnenje glede obveznosti vašega podjetja kot upravljavca osebnih podatkov. V letošnjem letu ste razširili nabor storitev, ki jih ponujate, zato vas zanima, kakšne so vaše obveznosti na področju varstva osebnih podatkov. Navajate, da stranke vašemu podjetju pošljejo podatke za izdajo računov, ki se potem izvaja na strežniku v lasti drugega podjetja. S strankami in zunanjim skrbnikom strežnika imate sklenjene pogodbene izjave. Zanima vas tudi, ali morate pred pošiljanjem vabil na delavnice, ki jih izvajate, preko elektronske pošte in SMS sporočil pridobiti predhodno soglasje strank.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1.1. Če obdelavo osebnih podatkov v imenu vašega podjetja izvaja obdelovalec, mora za to obstajati pisna pogodba ali drug ustrezen akt. Najmanjši obseg sestavin pogodbe o obdelavi podatkov določa 28. člen Splošne uredbe.

2.2. ZVOP-2 od upravljavcev ne zahteva več vodenja kataloga zbirk osebnih podatkov. Vendar pa se ta obveznost delno prekriva z zahtevami Splošne uredbe glede evidentiranja dejavnosti obdelav osebnih podatkov (30. člen Splošne uredbe), ki se razlikuje glede na velikost upravljavca. Podjetja, ki zaposlujejo manj kot 250 oseb, morajo evidentirati le tiste obdelave podatkov, ki same po sebi predstavljajo večje tveganje za pravice in svoboščine posameznikov, ali pa to izvira iz narave obdelovanih podatkov (posebne vrste osebnih podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški) ali obsega oziroma trajanja obdelave, ki ni zgolj občasna.

3.3. Za neposredno trženje storitev preko elektronske pošte in SMS sporočil morajo podjetja pridobiti predhodno soglasje naročnika ali uporabnika, razen v primeru in pod pogoji iz drugega odstavka 226. člena ZEKom-2.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

Za vsako novo storitev, ki jo podjetje ponuja, mora najprej presoditi, ali se bodo v okviru njenega izvajanja obdelovali osebni podatki. V skladu z definicijo tega pojma iz 1. točke 4. člena Splošne uredbe je osebni podatek vsaka informacija v zvezi z določenim ali določljivim posameznikom.

Obdelava osebnih podatkov je dopustna, če je izpolnjen vsaj eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Če podjetje obdeluje osebne podatke strank, mora za takšno obdelavo obstajati ustrezna pravna podlaga. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov je obveznost upravljavca (v konkretnem primeru je to vaše podjetje), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave.

Če obdelavo osebnih podatkov v imenu vašega podjetja izvaja obdelovalec (v vašem primeru lahko v vlogi obdelovalca nastopa podjetje, ki ima v lasti strežnik, ki gosti vašo storitev), mora za to obstajati pisna pogodba ali drug ustrezen akt. Najmanjši obseg sestavin pogodbe o obdelavi podatkov, ki jo skleneta upravljavec in obdelovalec, določa 28. člen Splošne uredbe. Več o pogodbeni obdelavi osebnih podatkov si lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava#a2.

Nadalje vas zanimajo vaše obveznosti glede katalogov zbirk podatkov. Glede navedenega IP pojasnjuje, da ZVOP-2, ki velja od 26. 1. 2023, od upravljavcev ne zahteva več, da vodijo katalog zbirk osebnih podatkov. Vendar pa se ta obveznost delno prekriva z zahtevami Splošne uredbe glede evidentiranja dejavnosti obdelav osebnih podatkov (30. člen Splošne uredbe), ki jih morajo upravljavci in obdelovalci voditi že od začetka veljavnosti Splošne uredbe, tj. od 25. 5. 2018. Obveznosti evidentiranja se razlikujejo glede na velikost upravljavca; podjetja, ki zaposlujejo manj kot 250 oseb, morajo evidentirati le tiste dejavnosti obdelav, ki:

1.niso občasne; ali

2.predstavljajo tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; ali

3.vključujejo posebne vrste osebnih podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški.

Evidence dejavnosti obdelave morajo upravljavci voditi v pisni obliki, ki vključuje tudi elektronsko vodenje evidenc. Elektronska oblika vodenja evidenc bo za večino upravljavcev podatkov tudi najbolj primeren način za evidentiranje dejavnosti obdelav. Več o tej temi, vključno z vzorci evidenc za upravljavce in obdelovalce, lahko najdete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/evidenca-dejavnosti-obdelave.

Nazadnje navajate tudi, da vaše podjetje organizira delavnice, za katere pošiljate vabila preko elektronske pošte in SMS sporočil. Zanima vas, ali morate vsakokrat pridobiti privolitev posameznikov, da jim lahko pošljete vabilo za delavnico. IP pojasnjuje, da področje neposrednega trženja z elektronskimi sredstvi (elektronska pošta, SMS sporočila, sporočila preko različnih aplikacij, npr. Viber, Whatsapp in podobno) ureja Zakon o elektronskih komunikacijah (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O, v nadaljevanju: ZEKom-2), za nadzor nad njegovim izvajanjem pa je v večinskem delu pristojna Agencija za komunikacijska omrežja in storitve Republike Slovenije (AKOS) in ne Informacijski pooblaščenec.

V skladu s prvim odstavkom 226. člena ZEKom-2 je uporaba SMS sporočil ali elektronske pošte za namene neposrednega trženja dovoljena samo na podlagi naročnikovega ali uporabnikovega predhodnega soglasja. Izjemo od tega pravila določa drugi odstavek 226. člena ZEKom-2, ki pravni osebi, ki je od kupca svojih izdelkov ali storitev pridobila njegov elektronski naslov za elektronsko pošto, omogoča, da ta naslov uporablja za neposredno trženje svojih podobnih izdelkov ali storitev. Podjetje lahko uporablja elektronski naslov za neposredno trženje le pod pogojem, da kupcu ponudi jasno in izrecno možnost, da brezplačno in enostavno zavrne takšno uporabo svojega elektronskega naslova takrat, ko so ti podatki za stike pridobljeni, in ob vsakem sporočilu, če kupec ni zavrnil takšne uporabe že na začetku.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka